DNS

DNS-Troubleshooting: Fehler systematisch finden und beheben

Zuletzt aktualisiert: 20. Juni 2026

DNS-Fehler gehören zu den häufigsten und zugleich am schwersten greifbaren Problemen im Webbetrieb: Eine Website ist nicht erreichbar, E-Mails kommen nicht an oder eine Änderung scheint einfach nicht zu wirken. Dieser Leitfaden zeigt eine systematische Vorgehensweise, mit der Sie DNS-Probleme mit den Werkzeugen dig und nslookup strukturiert eingrenzen und beheben.

Die Grundregel: von oben nach unten diagnostizieren

DNS ist hierarchisch aufgebaut. Auch die Fehlersuche folgt dieser Hierarchie – vom autoritativen Nameserver zum lokalen Resolver:

  1. Existiert der Eintrag auf dem autoritativen Nameserver?
  2. Liefern die delegierten Nameserver die richtige Antwort?
  3. Ist das Ergebnis nur durch Caching veraltet?
  4. Liegt das Problem am lokalen Resolver oder Betriebssystem?

Schritt 1: Den Eintrag direkt abfragen

Der wichtigste Befehl ist dig. Er zeigt die rohe DNS-Antwort inklusive Statuscode.

$ dig A example.com +short
203.0.113.10

$ dig MX example.com +short
10 mail1.example.com.

Bleibt die Antwort leer, existiert der Eintrag nicht oder wird nicht ausgeliefert. Der status-Wert im vollständigen dig-Output (ohne +short) ist entscheidend:

StatusBedeutungTypische Ursache
NOERRORAnfrage erfolgreichAlles in Ordnung (oder Eintragstyp fehlt)
NXDOMAINName existiert nichtTippfehler, fehlende Delegation
SERVFAILServer-FehlerDNSSEC-Problem, defekter Nameserver
REFUSEDAnfrage abgelehntFalsche Zonenkonfiguration, ACLs

Schritt 2: Den autoritativen Nameserver direkt befragen

Um Caching auszuschliessen, fragen Sie den zuständigen Server direkt:

$ dig NS example.com +short
ns1.provider.com.
ns2.provider.com.

$ dig @ns1.provider.com A example.com +short
203.0.113.10

Stimmt die Antwort des autoritativen Servers, aber Ihr lokaler Resolver liefert etwas anderes, handelt es sich um ein Caching-Problem (siehe Schritt 4).

Schritt 3: Häufige Fehlerbilder erkennen

  • Falsche oder fehlende Delegation: Die beim Registrar hinterlegten Nameserver zeigen nicht auf den Provider, der die Zone tatsächlich verwaltet. Prüfen Sie die NS-Records auf TLD-Ebene.
  • CNAME am Apex: Ein CNAME auf der Root-Domain (example.com) ist laut Standard nicht erlaubt und verursacht Auflösungsfehler. Verwenden Sie stattdessen einen A-Record oder CNAME-Flattening.
  • Mehrere SPF-Records: Existiert mehr als ein SPF-Record, erklären empfangende Mailserver SPF für ungültig – ein klassischer Grund für Zustellprobleme.
  • DNSSEC-SERVFAIL: Nach einem fehlerhaften Schlüsselrollover liefern validierende Resolver SERVFAIL. Prüfen Sie die DNSSEC-Vertrauenskette.

Schritt 4: Caching und Propagation verstehen

Greift eine Änderung nicht, ist fast immer die TTL die Ursache. Resolver dürfen einen Eintrag bis zum Ablauf der TTL zwischenspeichern. Deshalb gilt: TTL rechtzeitig vor geplanten Änderungen senken (z. B. auf 300 Sekunden) und nach erfolgreicher Umstellung wieder erhöhen.

Lokalen DNS-Cache leeren:

# Windows
ipconfig /flushdns

# macOS
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder

Die weltweite Verteilung neuer Einträge beschreibt die DNS-Propagation im Detail.

Mini-Szenario aus der Praxis

Ein Unternehmen wechselt den Webhoster. Direkt nach der Umstellung melden einige Mitarbeitende, die Seite sei nicht erreichbar, andere sehen sie bereits.

  • Diagnose: dig @ns1.neuer-provider.com A example.com liefert die neue IP – der Eintrag ist also korrekt gesetzt.
  • Ursache: Die TTL stand auf 86400 Sekunden, wurde vor dem Umzug nicht gesenkt. Resolver mit gecachtem alten Eintrag zeigen weiterhin die alte IP.
  • Lösung: Abwarten bis zum TTL-Ablauf bzw. lokalen Cache leeren; für künftige Umzüge die TTL 24 Stunden vorher auf 300 Sekunden senken.

Checkliste für die DNS-Fehlersuche

  • Liefert dig für den Eintragstyp ein Ergebnis?
  • Stimmt die Antwort des autoritativen Nameservers?
  • Sind die NS-Records auf TLD-Ebene korrekt delegiert?
  • Gibt es genau einen SPF-Record?
  • Ist die TTL für anstehende Änderungen niedrig genug?
  • Wurde der lokale Resolver-Cache geleert?

[!TIP] Statt manuell mehrere Resolver weltweit abzufragen, prüfen Sie Ihre Domain mit dem DNS Check und der DNS-Traversal-Analyse auf balou.tools – inklusive Propagation-Status über mehrere Standorte.

Fazit

Erfolgreiches DNS-Troubleshooting folgt der Hierarchie des Systems: zuerst den autoritativen Eintrag prüfen, dann die Delegation, schliesslich Caching und lokalen Resolver. Mit dig als zentralem Werkzeug und einem klaren Verständnis von TTL und Propagation lassen sich die meisten DNS-Probleme in wenigen Minuten eingrenzen – von der nicht erreichbaren Website bis zur gestörten Mail-Zustellbarkeit.

Häufig gestellte Fragen (FAQ)

Warum greift meine DNS-Änderung noch nicht?

Meist liegt es an Caching: Resolver speichern Einträge für die Dauer der TTL. Wurde die TTL vor der Änderung nicht gesenkt, kann es bis zur vollen TTL-Dauer (z. B. 24 Stunden) dauern, bis die Änderung weltweit sichtbar ist. Lokal hilft das Leeren des DNS-Caches.

Was bedeutet NXDOMAIN?

NXDOMAIN (Non-Existent Domain) bedeutet, dass der abgefragte Name im DNS nicht existiert. Ursachen sind Tippfehler im Namen, ein fehlender Eintrag in der Zone oder falsch delegierte Nameserver. Prüfen Sie mit dig, ob der Eintrag auf dem autoritativen Nameserver tatsächlich vorhanden ist.

Wie finde ich heraus, welcher Nameserver für eine Domain zuständig ist?

Mit dem Befehl `dig NS example.com +short` ermitteln Sie die autoritativen Nameserver. Anschliessend können Sie mit `dig @nameserver example.com` direkt diesen Server befragen und so Caching umgehen.

Weiterführende Artikel

Ttl

Artikel lesen

Propagation

Artikel lesen

Spf Record

Artikel lesen